Embed Size (px)
Citation preview
付 3-1
委託元 委託先
付録 3 アンケート単純集計結果
3-1 委託元
Ⅰ.貴社及びご回答者についてお伺いします。
S1 貴社の主な業種をお選びください。(○は 1つ)
図付 3 - 1 - 1 業種
S1-1 S1 で選択肢「5 情報通信業」を選んだ方にお伺いします。情報通信業の分類のうち、貴社の業種に当ては
まるものをお選びください。(○は1つ)
図付 3 - 1 - 2 業種(情報通信業)
0.8
9.4
33.3
1.4
6.0
7.6
19.4
3.2
13.2
0.6
1.2
3.6
0.2
0% 20% 40% 60% 80% 100%
農林漁業・同協同組合、鉱業
建設業
製造業
電気・ガス・熱供給・水道業
情報通信業
運輸業、郵便業
卸売業、小売業
金融業、保険業
その他のサービス業
教育、学習支援業
医療、福祉
その他
無回答
(N=499)
3.3
3.3
83.3
3.3
3.3
3.3
0.0
0% 20% 40% 60% 80% 100%
通信業
放送業
情報サービス業
インターネット附随サービス業
映像・音声・文字情報制作業
その他
無回答
(N=30)
付 3-2
委託元 委託先
S2 貴社の総従業員数(正社員、準社員等を含む)*をお選びください。 (○は 1 つ) * 1 ヶ月を超える雇用契約者とし、人材派遣業者からの派遣従業者は含めません。
図付 3 - 1 - 3 総従業員数
S3 貴社の総売上高をお選びください。わからない場合はおおよその額で構いません。(○は 1つ)
図付 3 - 1 - 4 総売上高
S4 ご回答者の所属部門をお選びください。複数の部門で回答された場合は、主に回答された部門をお選びください。
(○は 1 つ)
図付 3 - 1 - 5 回答者の所属部門
1.0
11.4
43.1
14.8
10.8
13.2
1.6
3.6
0.4
0% 20% 40% 60% 80% 100%
~50 名
51名~100名
101名~300名
301名~500名
501名~1,000名
1,001名~5,000名
5,001名~10,000名
10,001名以上
無回答
(N=499)
5.6
22.2
20.8
31.9
4.8
8.8
1.6
3.2
1.0
0% 20% 40% 60% 80% 100%
10億円未満
10億円~50億円未満
50億円~100億円未満
100億円~500億円未満
500億円~1,000億円未満
1,000億円~5,000億円未満
5,000億円~1兆円未満
1兆円以上
無回答
(N=499)
3.4
72.3
4.6
19.2
0.4
0% 20% 40% 60% 80% 100%
調達部門
情報システム部門・
情報セキュリティ部門
事業部門
その他
無回答
(N=499)
付 3-3
委託元 委託先
S5 ご回答者の役職をお選びください。(○は 1つ)
図付 3 - 1 - 6 回答者の役職
Ⅱ.貴社における IT システム・サービスの業務委託(以下、「業務委託」といいます)の状況についてお伺いします。
問1 貴社において、直接取引のあった委託先の社数をお選びください。(○は1つ)
図付 3 - 1 - 7 直接取引のあった委託先の社数
問2 再委託先はありますか。また、再々委託先等の有無を把握していますか。(○は 1 つ)
図付 3 - 1 - 8 再委託先、再々委託先等の有無
4.4
1.0
20.0
38.1
19.8
13.8
1.2
1.2
0.4
0% 20% 40% 60% 80% 100%
取締役・役員クラス
事業部長クラス
部長クラス
課長クラス
係長・主任クラス
一般社員
専門職
その他
無回答
(N=499)
77.6
14.0
2.2
1.0
4.2
1.0
0% 20% 40% 60% 80% 100%
1社~10社
11社~50社
51社~100社
101社以上
わからない
無回答
(N=499)
32.7
16.8
10.2
27.3
12.0
1.0
0% 20% 40% 60% 80% 100%
再委託先はない
再委託先はあり、再々委託先はない
再委託先はあり、再々委託先以降もある
再委託先はあるが、再々委託先があるかどうかわからない
再委託先等があるかどうかわからない
無回答
(N=499)
付 3-4
委託元 委託先
問3 貴社の委託先の所在地について、当てはまるものをお選びください。(○は 1つ)
図付 3 - 1 - 9 委託先の所在地
問4 貴社の委託先の属性について、当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 10 委託先の属性
問5 貴社が委託する ITシステム・サービスの業務として当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 11 委託する ITシステム・サービスの業務
89.6 9.4 1.0
0% 20% 40% 60% 80% 100%
国内のみ 海外のみ 国内と海外の両方 無回答
(N=499)
41.9
79.4
1.8
0% 20% 40% 60% 80% 100%
系列企業・グループ企業
系列企業・グループ企業以外
無回答
(N=499)
13.4
54.1
66.3
75.6
55.5
70.1
18.4
2.2
1.2
0% 20% 40% 60% 80% 100%
PMO(プロジェクトマネジメントオフィス)
要件定義・設計
開発・テスト
運用・保守
サービス提供(ASP、SaaS等)
インフラ提供(IaaS、ホスティング、
Webサイト構築等)
データ処理・分析
その他
無回答
(N=499)
付 3-5
委託元 委託先
問6 貴社のどのような事業領域で業務を委託していますか。当てはまるものを全てお選びくだ
さい。(○はいくつでも)
図付 3 - 1 - 12 業務委託の事業領域
Ⅲ.貴社の情報セキュリティに関する委託先管理についてお伺いします。
<業務委託に対するリスク評価・方針決定>
問 7 業務を委託することでどのような効果を期待していますか。
特に期待する効果の選択肢の番号を優先順に 3 つ左から以下の枠内にご記入ください。
図付 3 - 1 - 13 業務委託に期待する効果
38.1
13.2
50.1
48.3
71.5
49.7
14.6
51.3
23.2
0.6
1.4
0% 20% 40% 60% 80% 100%
BtoB インターネットビジネス
(Webサイト、広告等)
BtoC インターネットビジネス
(SNS、ポータル、EC、コンテンツ販売等)
情報処理サービス(クラウド等)
システム・ネットワークインテグレーション
ソフトウエア (受託開発、パッケージソフト等)
ハードウエア(情報通信機器等)
IoT(遠隔監視、データ収集等)
社内システム(バックオフィス業務等)
企業の対外的ポータルサイト
その他の事業領域
無回答
(N=499)
14.0
19.2
17.8
40.1
0.2
3.0
3.8
1.0
0.8
10.0
23.8
23.4
22.2
1.6
9.6
6.0
0.6
2.6
13.2
21.8
12.8
12.6
3.2
15.0
14.6
0.2
6.4
0% 20% 40% 60% 80% 100%
コア事業への経営資源の集中
コスト削減
業務プロセス改善
外部の専門性の活用
財務体質の改善
組織のスリム化
事業リスクの移転
その他
無回答
優先順位① 優先順位② 優先順位③
(N=499)
付 3-6
委託元 委託先
問8 情報セキュリティの観点から、業務委託で扱う情報資産とリスクを特定し、会社として業務
を委託すべきか、必要な情報セキュリティ対策は何か等を判断していますか。(○は 1つ)
図付 3 - 1 - 14 情報資産やリスクに基づく情報セキュリティ対策の判断
問9 業務委託で扱う情報資産に関して、情報セキュリティ上のリスクをどの程度懸念していますか。それぞれの脅威に
対する懸念の度合いとして当てはまるものをお選びください。(✔は各行につき 1つ)
図付 3 - 1 - 15 業務委託で扱う情報資産に関して懸念する情報セキュリティ上のリスク
<体制・ルール整備>
問10 情報セキュリティに関する委託先管理の取組みについて、業務委託で扱う情報の種類ごとの実施状況として、当て
はまるものを全てお選びください。(✔は各行につき、いくつでも)
図付 3 - 1 - 16 情報セキュリティに関する委託先管理の取組み
51.5 44.1 3.2 1.2
0% 20% 40% 60% 80% 100%
社内ルールに基づき判断している 社内ルールはないが、必要に応じて判断している
判断していない 無回答
(N=499)
19.2
46.1
21.4
36.7
17.4
50.9
37.3
62.5
48.7
50.1
27.1
14.4
13.4
13.2
28.9
2.2
1.6
1.8
0.8
3.0
0.6
0.6
0.8
0.6
0.6
0% 20% 40% 60% 80% 100%
内部不正
外部攻撃
(ウイルス感染や不正アクセス等)
人的ミス(誤操作等)
システム障害、停止
災害
非常に懸念している ある程度懸念している あまり懸念していない 全く懸念していない 無回答
(N=499)
65.5
57.1
57.1
48.3
46.3
38.9
66.1
58.5
56.7
47.5
45.9
41.3
45.5
41.9
40.5
36.5
34.1
30.5
15.8
22.0
23.0
33.5
35.1
41.5
2.0
2.6
2.8
2.6
2.8
3.0
0% 20% 40% 60% 80% 100%
情報セキュリティを考慮した委託先選定
委託契約における
情報セキュリティ要求事項の明確化
業務委託で扱う情報資産の厳格な管理
(授受から廃棄等の一連のプロセス)
委託先の情報セキュリティ対策の
実施状況の確認
インシデントに対する対応体制の整備
業務委託完了時の情報セキュリティの
観点からの検収・評価
個人情報 営業秘密 その他の非公開情報 当該取組みはない 無回答
(N=499)
付 3-7
委託元 委託先
問11 情報セキュリティに関する委託先管理の取組みについて、所管(関与)する部門をお選びく
ださい。1つの取組みに対して複数の部門が関与する場合は、関与する部門全てをお選びください。 (✔は各行に
つき、いくつでも)
図付 3 - 1 - 17 情報セキュリティに関する委託先管理の取組みの所管部門
問 12 情報セキュリティに関する委託先管理において、社内でどのようなルール・規定類が整備されていますか。
当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 18 情報セキュリティに関する委託先管理の社内ルール・規定類の整備状況
21.0
14.4
14.3
15.7
11.7
15.1
79.8
78.7
74.7
75.9
79.3
74.3
14.8
22.1
12.2
10.5
13.0
8.9
23.3
18.8
24.5
23.2
22.2
25.0
11.2
9.0
12.0
9.9
11.4
8.6
1.0
1.8
1.8
1.8
1.9
2.1
0% 20% 40% 60% 80% 100%
情報セキュリティを考慮した委託先選定
(N=420)
委託契約における
情報セキュリティ要求事項の明確化
(N=389)
業務委託で扱う情報資産の厳格な管理
(授受から廃棄等の一連のプロセス)
(N=384)
委託先の情報セキュリティ対策の
実施状況の確認
(N=332)
インシデントに対する対応体制の整備
(N=324)
業務委託完了時の情報セキュリティの
観点からの検収・評価
(N=292)
調達部門 情報システム部門・
情報セキュリティ部門
法務部門 事業部門 その他 無回答
35.9
5.4
27.7
39.7
24.4
2.2
31.7
0.8
0% 20% 40% 60% 80% 100%
情報セキュリティに関する項目を含む委託先選定基準
情報セキュリティ対策の評価結果に基づく
推奨委託先リスト
委託先に求める情報セキュリティ対策リスト
(基準、ガイドライン、規格等を参照する場合も含む)
情報セキュリティ要求事項を含む契約書雛形
委託先の情報セキュリティ対策状況の確認形式
(チェックリスト等)
その他
特にルールや規定類は整備されていない
無回答
(N=499)
付 3-8
委託元 委託先
問 13 情報セキュリティに関する委託先管理のルール・規定類の策定に際して取り入れている、
または参考にしている基準、ガイドライン、規格等はありますか。当てはまるものを全てお選びください。(○はいく
つでも)
図付 3 - 1 - 19 委託先管理のルール・規定類の整備に取り入れている・参考にしている
基準、ガイドライン及び規格等
16.6
54.5
11.4
40.7
15.2
7.8
25.9
16.8
5.4
0.6
4.6
0.6
0.2
1.4
19.8
0.8
12.8
0.8
6.2
19.6
0% 20% 40% 60% 80% 100%
政府機関等の情報セキュリティ対策のための統一基準群
(NISC:内閣サイバーセキュリティセンター)
個人情報の保護に関するガイドライン(各省庁)
営業秘密管理指針(経済産業省)
情報セキュリティ管理基準(経済産業省)
下請適正取引等の推進のためのガイダンス
(経済産業省、総務省、国土交通省)
情報システム・モデル取引・契約書(経済産業省)
中小企業の情報セキュリティ対策ガイドライン(IPA)
組織における内部不正防止ガイドライン(IPA)
金融機関等コンピュータシステムの安全対策基準
(FISC:金融情報システムセンター)
サプライチェーン情報セキュリティ管理基準
(JASA:特定非営利活動法人日本セキュリティ監査協会)
ソフトウエア開発委託基本モデル契約書
(JISA:一般社団法人情報サービス産業協会)
非ウォーターフォール型開発に適したモデル契約書(IPA)
CMMI(能力成熟度モデル統合)
PCI DSS
(Payment Card Industry Data Security Standard)
JIS Q 27000シリーズ
(情報セキュリティマネジメントシステム関連規格:ISMS)
JIS X 5070-1
(情報技術セキュリティの評価基準:CC)
JIS Q15001
(個人情報保護マネジメントシステム:Pマーク)
SP800シリーズ(NIST:米国国立標準技術研究所)
その他
無回答
(N=499)
付 3-9
委託元 委託先
問 14 貴社が参加する IT サプライチェーン内で横断的な情報セキュリティ対策はありますか。当
てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 20 ITサプライチェーン内で横断的な情報セキュリティ対策
問 15 情報セキュリティに関する委託先管理の推進において、どのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 1 - 21 情報セキュリティに関する委託先管理の推進の課題
24.0
10.8
19.6
19.0
5.4
0.4
56.7
3.4
0% 20% 40% 60% 80% 100%
共通の情報セキュリティポリシー・基準等の展開
共通の情報セキュリティ要求事項に基づく
委託先の適合確認
情報セキュリティに関する情報共有の仕組み
情報セキュリティの普及啓発
ITサプライチェーン参加企業を対象とする
インシデント対応組織(CSIRT等)の設置
その他
特にITサプライチェーン内で横断的な取組みはない
無回答
(N=499)
33.1
63.1
58.5
21.4
9.0
1.8
7.4
0% 20% 40% 60% 80% 100%
自社の属する業界において、
委託先の情報セキュリティ確保への意識が低い
社内に十分な知見・スキルを持った人材がいない
すべての業務委託に対して統一的な管理体制やルールを
適用することが難しい
委託先の情報セキュリティ対策にかかわる部門間の調整が
大変である
海外の委託先に対して国内の委託先と同じ管理を
適用することは現実的でない
その他
無回答
(N=499)
付 3-10
委託元 委託先
<委託先選定>
問 16 委託先選定において、委託先のどのような点を重視していますか。
特に重視する項目の選択肢の番号を優先順に 4つ左から以下の枠内にご記入ください。
図付 3 - 1 - 22 委託先選定において重視する点
問 17 委託先が実施すべき具体的な情報セキュリティ対策を、仕様書等に明記していますか。(○は 1つ)
図付 3 - 1 - 23 委託先が実施すべき具体的な情報セキュリティ対策の仕様書等での明記
62.3
10.8
3.6
4.6
0.8
13.2
3.4
0.2
1.0
17.4
43.9
11.2
10.2
5.6
3.4
3.2
0.6
4.4
7.8
18.0
23.8
16.0
13.6
4.4
7.0
0.6
8.6
5.2
9.4
18.8
19.2
16.2
4.8
12.4
1.0
12.8
0% 20% 40% 60% 80% 100%
業務の品質・価格・納期
委託先への過去の発注実績、過去業務の評価
委託先の経営・財務状況
情報セキュリティ対策の実施状況や認証の取得状況
(ISMSやPマーク等)
過去のインシデントの発生の有無
系列企業・グループ企業であること
国内企業であること
グローバル企業であること
無回答
優先順位① 優先順位② 優先順位③ 優先順位④
(N=499)
29.5 69.1 1.4
0% 20% 40% 60% 80% 100%
明記している 明記していない 無回答
(N=499)
付 3-11
委託元 委託先
問 17-1 問 17 で選択肢「1 明記している」を選んだ方にお伺いします。委託先が最低限実施
すべき情報セキュリティ対策として明記するものを全てお選びください。また、再委託を行う場合、再委託先
が最低限実施すべき情報セキュリティ対策として明記するものも全てお選びください(✔は委託先/再委託
先、それぞれいくつでも)
図付 3 - 1 - 24 委託先が最低限実施すべき情報セキュリティ対策として仕様書等に明記するもの
70.1
57.1
43.5
72.1
53.7
52.4
44.2
61.2
63.9
52.4
68.7
49.7
53.1
55.8
51.7
53.7
49.0
76.2
1.4
0% 20% 40% 60% 80% 100%
情報セキュリティポリシーや情報セキュリティ管理に関する
規程の整備及び実践
全社的な情報セキュリティの推進体制やコンプライアンスの
推進体制の整備
重要な情報資産に対する重要性のレベルごとの分類、
レベルに応じた表示や取扱方法の規定
重要な情報の利用、保管、持ち出し、消去、破棄等に対する
取扱い手順の規定
再委託時の契約における情報セキュリティ要求事項の明記
従業者に対する情報セキュリティに関する就業上の義務の明確化
(採用、退職時における守秘義務に関する書面の取り交わし等)
従業者に対する情報セキュリティに関する自組織の取組みや
関連規程類についての計画的な教育や指導の実施
重要な情報資産のある建物や区画に対する
物理的セキュリティ対策、入退室管理の実施
重要な書類、モバイルPC、記憶媒体に対する施錠管理等の
適切な管理の実施
重要なデータや関連するシステムのバックアップに関する
手順の文書化及び実施
不正プログラム(ウイルス、ワーム、トロイの木馬、
ボット、スパイウエアなど)への対策実施
情報システムに対する、適切かつ迅速な脆弱性対策の実施
ネットワーク上のデータに対する暗号化などの
適切な保護策の実施
モバイルPC、記憶媒体やデータの外部持ち出しに対する、
盗難、紛失などを想定した対策の実施
データや情報システムの利用者IDの管理、
利用者の識別と認証の実施
データや情報システム、業務アプリケーションなどに
対するアクセス権の付与とアクセス制御の実施
ネットワークのアクセス制御の実施
インシデント発生時の適切かつ迅速な初動対応、報告の実施
無回答
(N=147)
付 3-12
委託元 委託先
図付 3 - 1 - 25 再委託先が最低限実施すべき情報セキュリティ対策として仕様書等に明記するもの
33.3
21.8
19.5
40.2
27.6
27.6
24.1
31.0
33.3
20.7
32.2
18.4
17.2
25.3
23.0
25.3
19.5
40.2
43.7
0% 20% 40% 60% 80% 100%
情報セキュリティポリシーや情報セキュリティ管理に関する
規程の整備及び実践
全社的な情報セキュリティの推進体制やコンプライアンスの
推進体制の整備
重要な情報資産に対する重要性のレベルごとの分類、
レベルに応じた表示や取扱方法の規定
重要な情報の利用、保管、持ち出し、消去、破棄等に対する
取扱い手順の規定
再委託時の契約における情報セキュリティ要求事項の明記
従業者に対する情報セキュリティに関する就業上の義務の明
確化(採用、退職時における守秘義務に関する書面の取り…
従業者に対する情報セキュリティに関する自組織の取組みや
関連規程類についての計画的な教育や指導の実施
重要な情報資産のある建物や区画に対する
物理的セキュリティ対策、入退室管理の実施
重要な書類、モバイルPC、記憶媒体に対する施錠管理等の
適切な管理の実施
重要なデータや関連するシステムのバックアップに関する
手順の文書化及び実施
不正プログラム(ウイルス、ワーム、トロイの木馬、
ボット、スパイウエアなど)への対策実施
情報システムに対する、適切かつ迅速な脆弱性対策の実施
ネットワーク上のデータに対する暗号化などの
適切な保護策の実施
モバイルPC、記憶媒体やデータの外部持ち出しに対する、
盗難、紛失などを想定した対策の実施
データや情報システムの利用者IDの管理、
利用者の識別と認証の実施
データや情報システム、業務アプリケーションなどに
対するアクセス権の付与とアクセス制御の実施
ネットワークのアクセス制御の実施
インシデント発生時の適切かつ迅速な初動対応、報告の実施
無回答
(N=87)
付 3-13
委託元 委託先
問 18 仕様書等において、内部不正を防止する観点で委託先が実施すべき情報セキュリティ対
策として明記するものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 26 委託先が実施すべき内部不正対策として仕様書等に明記するもの
問 19 貴社が要求する情報セキュリティ対策に、委託先が対応できない場合、どのように対応することが多いですか。
(○は1つ)
図付 3 - 1 - 27 情報セキュリティ対策の要求に委託先が対応できない場合の対応
問 20 委託先の選定において、情報セキュリティの観点で、どのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 1 - 28 委託先選定における情報セキュリティの観点での課題
33.5
40.1
18.8
42.1
1.6
34.7
3.0
0% 20% 40% 60% 80% 100%
操作ログ等の取得・保存
私物のモバイル機器や記憶媒体に対する
持ち込み、持ち出しの管理
単独作業の制限、承認手続き
従業者からの当該業務委託の秘密保持等に関する
誓約書の取得
その他
特に明記していない
無回答
(N=499)
60.3 5.2 18.8 8.0 4.4 3.2
0% 20% 40% 60% 80% 100%
委託先に情報セキュリティ対策の代替案の提案を求める情報セキュリティ対策の要求範囲を変更する委託先を変更する業務委託をやめるその他無回答
(N=499)
58.1
57.3
12.2
32.1
14.4
2.8
9.6
0% 20% 40% 60% 80% 100%
社内に十分な知見・スキルを持った人材がいない
委託先の情報セキュリティ対策レベルが異なり、
評価・選定が難しい
実績や技術力を持つ委託先があるが、
情報セキュリティ要求事項を満たせず選定できない
委託先の情報セキュリティ対策にかかるコストが委託費用
に反映されることについて社内の理解が得られない
選定時に委託先から情報セキュリティ対策の
情報を提供してもらえない
その他
無回答
(N=499)
付 3-14
委託元 委託先
<契約>
問 21 委託先との契約において、どのような情報セキュリティにかかわる要求事項を含めていますか。
当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 29 委託先との契約に含める情報セキュリティにかかわる要求事項
問 21-1 問 21の選択肢「5情報セキュリティに関する委託元と委託先の責任範囲」を選んだ方にお伺いします。情報
セキュリティに関する委託元と委託先の責任範囲についてどのように明示していますか。当てはまるものを
全てお選びください。(○はいくつでも)
図付 3 - 1 - 30 情報セキュリティに関する委託元と委託先の責任範囲の明示方法
94.0
26.9
27.3
35.9
29.1
29.1
10.6
13.6
27.3
43.9
0.8
2.4
0% 20% 40% 60% 80% 100%
秘密保持
具体的な情報セキュリティ対策の実施
(既存の基準への適合や認証取得等も含む)
証跡の提示、監査協力等
情報セキュリティに関する契約内容に
違反した場合の措置
情報セキュリティに関する委託元と委託先の責任範囲
インシデントが発生した場合の対応
情報セキュリティに関する
SLA(Service Level Agreement)
新たな脅威(脆弱性等)が顕在化した場合の
情報共有・対応
再委託の禁止または制限
契約終了後の情報資産の扱い(返却、消去、廃棄等)
その他
無回答
(N=499)
41.4
44.1
24.1
2.1
26.9
2.1
0% 20% 40% 60% 80% 100%
一定の条件において委託先が責任を負わない
免責規定を定めている
損害賠償額に業務委託の契約金額等で上限を設定している
ソフトウエア開発等において、瑕疵担保条項の中で
業務委託完了後に発覚した脆弱性等を対象としている
その他
具体的内容までは明示していない
無回答
(N=145)
付 3-15
委託元 委託先
問 21-2 問 21の選択肢「6 インシデントが発生した場合の対応」を選んだ方にお伺いしま
す。インシデントが発生した場合の対応として、どのような内容を含めていますか。当てはまるものを全てお
選びください。(○はいくつでも)
図付 3 - 1 - 31 インシデントが発生した場合の対応として契約に含める内容
問 22 委託先との契約において、情報セキュリティの観点で、どのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 1 - 32 委託先との契約における情報セキュリティの観点での課題
<契約期間中の追加対応>
問 23 過去の業務委託において、契約期間中に発生した新たな脅威(脆弱性等)に対応するための追加の費用負担を受
け入れたことがありますか。(○は1つ)
図付 3 - 1 - 33 契約期間中に発生した新たな脅威(脆弱性等)に対応するための追加の費用負担の受け入れ
71.7
59.3
20.7
60.7
29.0
3.4
1.4
0% 20% 40% 60% 80% 100%
初動対応
報告窓口
報告期限
報告内容
調査・復旧にかかわる委託元と委託先の権限、負担
その他
無回答
(N=145)
40.7
47.3
54.5
17.8
12.4
1.6
11.4
0% 20% 40% 60% 80% 100%
情報セキュリティ要件として
何を取り決めるべきかわからない
実施すべき具体的な情報セキュリティ対策が
明示されていない
情報セキュリティ上の責任範囲(責任分界点)が
わからない
再委託について契約に規定しているが、
情報セキュリティに対し不安がある
約款に基づくサービス利用(クラウド等)の場合、
自社の情報セキュリティ要求事項を満たさない
その他
無回答
(N=499)
11.0 13.6 60.5 13.6 1.2
0% 20% 40% 60% 80% 100%
受け入れたことがある 受け入れたことがない 過去に事例がない わからない 無回答
(N=499)
付 3-16
委託元 委託先
<委託先の情報セキュリティ対策の確認>
問 24 委託先の情報セキュリティ対策の実施状況をどのような方法で、またどのタイミングで確認していますか。実施方
法と実施タイミングとして当てはまるものを全てお選びください。 (✔は各行につき、いくつでも)
図付 3 - 1 - 34 委託先の情報セキュリティ対策の実施状況の確認方法・タイミング
問 25 問 2 で再委託先があるとお答えいただいた方(選択肢 2、 3 または 4 を選択された方)にお伺いします。再委託先
の情報セキュリティ対策の実施状況の確認方法について、貴社内でどのように定めていますか。(○は 1つ)
図付 3 - 1 - 35 再委託先の情報セキュリティ対策の実施状況の確認方法
29.1
11.0
5.0
29.5
14.8
0.6
21.2
9.0
5.0
11.0
46.5
1.2
18.6
16.8
8.0
4.4
4.8
1.0
3.4
1.4
0.6
0.4
2.8
0.8
41.5
62.7
77.8
56.3
36.1
61.9
4.0
4.6
6.6
5.0
5.0
35.5
0% 20% 40% 60% 80% 100%
チェックリストなど(委託先のセルフチェック・内部監査)
実地調査(委託元による委託先の監査)
外部監査(外部監査法人等による委託先の監査)
各種認証・制度(ISMS、Pマーク等)の取得証明書
誓約書
その他
選定時 契約時 契約期間中 契約終了時 当該確認はない 無回答
(N=499)
8.5 31.4 53.1 3.0 4.1
0% 20% 40% 60% 80% 100%
再委託先に対して直接確認する 委託先を介して結果を書面で確認する確認に関する規定はない その他無回答
(N=271)
付 3-17
委託元 委託先
問 26 問 3 で海外の委託先があるとお答えいただいた方(選択肢 2 または 3 を選んだ方)にお伺
いします。海外の委託先の情報セキュリティ対策をどのように確認していますか。(○は 1つ)
図付 3 - 1 - 36 海外の委託先の情報セキュリティ対策の確認方法
問 27 委託先の情報セキュリティ対策を継続的に維持・改善するため、貴社と委託先との間でどのような仕組みを取り入
れていますか。当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 37 委託先の情報セキュリティ対策を継続的に維持・改善するために取り入れている仕組み
問 28 委託先の情報セキュリティ対策の確認等においてどのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 1 - 38 委託先の情報セキュリティ対策の確認等における課題
6.4 36.2 19.1 31.9 4.32.1
0% 20% 40% 60% 80% 100%
国内企業よりも厳しいレベルで確認している 国内企業と同じレベルで確認している国内企業よりも低いレベルでしか確認できていない 確認できていないその他 無回答
(N=47)
39.1
13.6
21.6
1.8
43.1
2.0
0% 20% 40% 60% 80% 100%
関係者間の定例会議等における報告
関係者間の情報共有のためのツールの活用
(メーリングリスト等)
情報セキュリティに関する連絡窓口の設置
その他
特に仕組みはない
無回答
(N=499)
58.1
47.3
45.1
11.0
10.6
1.4
10.0
0% 20% 40% 60% 80% 100%
社内に十分な知見・スキルを持った人材がいない
情報セキュリティ対策の確認にかかるコスト負担が大きい
再委託先以降の情報セキュリティ対策を確認することが
難しい
海外の委託先の情報セキュリティ対策を確認することが
難しい
重要な情報がITサプライチェーン上でどこにあるのか
わからない
その他
無回答
(N=499)
付 3-18
委託元 委託先
<インシデント対応>
問 29 過去 3 年間の業務委託(委託先または再委託先以降)においてインシデントが発生したことはありますか。当ては
まるものをお選びください(✔は各行につき1つ)。
図付 3 - 1 - 39 業務委託(委託先または再委託先以降)における過去 3年間のインシデントの経験
問 29-1 問 29 の選択肢「1 ある」を選んだ方にお伺いします。どのようなインシデントが発生しましたか。当てはまる
ものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 40 インシデントの内容
15.4
2.8
72.7
64.9
10.0
24.4
1.8
7.8
0% 20% 40% 60% 80% 100%
委託先
再委託先以降
ある ない わからない 無回答
(N=499)
16.7
74.4
5.1
1.3
14.1
9.0
1.3
0% 20% 40% 60% 80% 100%
情報漏えい・暴露
システム・サービスの障害・遅延・停止
情報システム・機器の不正利用
ウェブページ等の改ざん
データの毀損、消失
その他
無回答
(N=78)
付 3-19
委託元 委託先
問 29-2 問 29 の選択肢「1 ある」を選んだ方にお伺いします。発生したインシデントのうち、
最も影響が大きかったものについて、被害内容と被害の影響が及んだ範囲(組織・個人)として当てはまる
ものを全てお選びください。(✔は各行につき、いくつでも)
図付 3 - 1 - 41 最も影響が大きかったインシデントの被害内容と被害の影響が及んだ範囲
問 30 インシデント対応において、どのような点が課題と考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 1 - 42 インシデント対応における課題
62.8
6.4
39.7
2.6
15.4
17.9
3.8
23.1
2.6
3.8
2.6
1.3
2.6
0.0
0.0
11.5
1.3
0.0
1.3
2.6
6.4
2.6
0.0
1.3
3.8
30.8
82.1
44.9
84.6
67.9
2.6
10.3
6.4
11.5
11.5
0% 20% 40% 60% 80% 100%
ITシステム・サービスの障害、遅延、停止による逸失利益
個人顧客への賠償や法人取引先への補償負担
原因調査・復旧にかかわる人件費等の経費負担
裁判、調停等にかかわる人件費等の経費負担
個人顧客や法人取引先に対する信頼の失墜
自社 委託先 再委託先以降 その他の取引先、関係先 個人顧客 当該被害はない 無回答
(N=78)
53.3
34.9
37.9
38.7
24.2
21.0
1.2
7.2
0% 20% 40% 60% 80% 100%
社内に十分な知見・スキルを持った人材がいない
インシデントが発生した際に何をしたらいいのか
わからない
インシデントが発生した際に手順どおりに対応できるか
わからない
委託先における証拠保全や原因調査が難しい
インシデントがタイムリーに報告されない
インシデントが発生した委託先との費用負担の調整が
難しい
その他
無回答
(N=499)
付 3-20
委託元 委託先
Ⅳ.IT サプライチェーンにおける情報セキュリティの向上のため、国、IPA に期待する施策に
ついてお伺いします。
問 31 ITサプライチェーンにおける情報セキュリティの向上のため、国、IPA に求める施策はありますか。
施策として期待するものを全てお選びください。(○はいくつでも)
図付 3 - 1 - 43 ITサプライチェーンにおける情報セキュリティの向上のため、国、IPAに求める施策
73.1
58.3
35.5
31.1
30.1
2.6
7.8
0% 20% 40% 60% 80% 100%
企業向けガイドラインの整備
委託先管理で利用できるツール
(チェックリスト、ベンチマーク、各種雛形等)の整備
ITサプライチェーンのインシデント事例集の整備
委託先管理のベストプラクティス集の整備
委託先管理者向け普及啓発セミナー・教育
その他
無回答
(N=499)
付 3-21
委託元 委託先
3-2 委託先
Ⅰ.貴社及びご回答者についてお伺いします。
S1 貴社の主な業種をお選びください。(○は 1つ)
図付 3 - 2 - 1 業種
S2 貴社の総従業員数(正社員、準社員等を含む)*をお選びください。 (○は 1つ) * 1 ヶ月を超える雇用契約者とし、人材派遣業者からの派遣従業者は含めません。
図付 3 - 2 - 2 総従業員数
53.7
26.0
2.3
9.2
0.3
1.0
0.6
0.5
0.2
0.0
2.1
4.2
0.0
0% 20% 40% 60% 80% 100%
ソフトウエア業
情報処理サービス業
情報提供サービス業
その他の情報サービス業
国内・国際電気通信業
電気通信に附帯するサービス業
民生用電気機械器具製造業
電子計算機・同付属装置製造業
工業計器製造業
発電機・電動機・その他の回転
電気機械製造業
その他
無回答
(N=620)
30.5
26.6
21.8
9.8
6.6
4.0
0.2
0.5
0.0
0% 20% 40% 60% 80% 100%
~50名
51名~100名
101名~300名
301名~500名
501名~1,000名
1,001名~5,000名
5,001名~10,000名
10,001名以上
無回答
(N=620)
付 3-22
委託元 委託先
S3 貴社の総売上高をお選びください。わからない場合はおおよその額で構いません。(○は 1
つ)
図付 3 - 2 - 3 総売上高
S4 ご回答者の所属部門をお選びください。複数の部門で回答された場合は、主に回答された部門をお選びください。
(○は 1つ)
図付 3 - 2 - 4 回答者の所属部門
S5 ご回答者の役職をお選びください。(○は 1つ)
図付 3 - 2 - 5 回答者の役職
48.9
30.0
9.5
9.4
0.3
1.1
0.0
0.5
0.3
0% 20% 40% 60% 80% 100%
10億円未満
10億円~50億円未満
50億円~100億円未満
100億円~500億円未満
500億円~1,000億円未満
1,000億円~5,000億円未満
5,000億円~1兆円未満
1兆円以上
無回答
(N=620)
11.6
49.4
16.8
21.8
0.5
0% 20% 40% 60% 80% 100%
営業部門
情報システム部門・
情報セキュリティ部門
事業部門
その他
無回答
(N=620)
27.3
2.9
28.4
19.5
9.5
10.5
1.5
0.5
0.0
0% 20% 40% 60% 80% 100%
取締役・役員クラス
事業部長クラス
部長クラス
課長クラス
係長・主任クラス
一般社員
専門職
その他
無回答
(N=620)
付 3-23
委託元 委託先
Ⅱ.貴社が受託する IT システム・サービスの業務(以下、「受託業務」といいます)の状況に
ついてお伺いします。
問 1 貴社の主な ITシステム・サービスの取引において、貴社の位置付けとして最も近いものをお選びください。
(○は 1つ)
図付 3 - 2 - 6 主な ITシステム・サービスの取引における回答企業の位置づけ
問 2 貴社において、直接取引のあった委託元の社数をお選びください。(○は 1つ)
図付 3 - 2 - 7 直接取引のあった委託元の社数
問 3 再委託先(貴社から見た委託先)はありますか。また、再々委託先(貴社から見た再委託先)等の有無を把握して
いますか。(○は 1つ)
図付 3 - 2 - 8 再委託先、再々委託先等の有無
55.0 44.4 0.6
0% 20% 40% 60% 80% 100%
元請け(プライムベンダ) 二次請け以降 無回答
(N=620)
34.8
36.8
8.9
12.7
6.3
0.5
0% 20% 40% 60% 80% 100%
1社~10社
11社~50社
51社~100社
101社以上
わからない
無回答
(N=620)
22.1
40.5
25.0
11.1
0.8
0.5
0% 20% 40% 60% 80% 100%
再委託先はない
再委託先はあり、再々委託先はない
再委託先はあり、再々委託先以降もある
再委託先はあるが、再々委託先があるかどうかわからない
再委託先等があるかどうかわからない
無回答
(N=620)
付 3-24
委託元 委託先
問 4 貴社の委託元の所在地について、当てはまるものをお選びください。(○は 1つ)
図付 3 - 2 - 9 委託元の所在地
問 5 貴社の委託元の属性について、当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 10 委託元の属性
問 6 貴社が受託する ITシステム・サービスの業務として当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 11 受託する ITシステム・サービスの業務
86.9 0.2 12.4 0.5
0% 20% 40% 60% 80% 100%
国内のみ 海外のみ 国内と海外の両方 無回答
(N=620)
34.2
86.6
0.8
0% 20% 40% 60% 80% 100%
系列企業・グループ企業
系列企業・グループ企業以外
無回答
(N=620)
29.0
78.7
87.7
82.6
36.8
39.7
28.7
4.2
0.5
0% 20% 40% 60% 80% 100%
PMO(プロジェクトマネジメントオフィス)
要件定義・設計
開発・テスト
運用・保守
サービス提供(ASP、SaaS等)
インフラ提供
(IaaS、ホスティング、Webサイト構築等)
データ処理・分析
その他
無回答
(N=620)
付 3-25
委託元 委託先
問 7 どのような事業領域にかかわる業務を受託していますか。当てはまるものを全てお選びく
ださい。(○はいくつでも)
図付 3 - 2 - 12 受託業務の事業領域
Ⅲ.貴社の受託業務における情報セキュリティ対策についてお伺いします。
受託業務に対するリスク評価・方針決定>
問 8 情報セキュリティの観点から、受託業務で扱う情報資産とリスクを特定し、会社として業務を受託できるか、必要な
情報セキュリティ対策は何か等を判断していますか。(○は 1つ)
図付 3 - 2 - 13 情報資産やリスクに基づく情報セキュリティ対策の判断
問 9 受託業務で扱う情報資産に関して、情報セキュリティ上のリスクをどの程度懸念していますか。それぞれの脅威に
対する懸念の度合いとして当てはまるものをお選びください。(✔は各行につき 1つ)
図付 3 - 2 - 14 受託業務で扱う情報資産に関して懸念する情報セキュリティ上のリスク
33.9
20.3
43.2
40.8
82.4
27.6
16.8
42.1
16.1
4.0
0.6
0.5
0% 20% 40% 60% 80% 100%
BtoB インターネットビジネス(Webサイト、広告等)
BtoC インターネットビジネス
(SNS、ポータル、EC、コンテンツ販売等)
情報処理サービス (クラウド等)
システム・ネットワークインテグレーション
ソフトウエア (受託開発、パッケージソフト等)
ハードウエア(情報通信機器等)
IoT(遠隔監視、データ収集等)
社内システム(バックオフィス業務等)
企業の対外的ポータルサイト
その他の事業領域
受託した委託元の事業領域はわからない
無回答
(N=620)
79.2 19.0 0.81.0
0% 20% 40% 60% 80% 100%
社内ルールに基づき判断している 社内ルールはないが、必要に応じて判断している
判断していない 無回答
(N=620)
29.5
59.2
46.6
40.6
18.9
46.0
34.4
49.0
48.5
54.8
22.1
5.6
3.2
9.8
24.0
1.8
0.3
0.5
0.5
1.6
0.6
0.5
0.6
0.5
0.6
0% 20% 40% 60% 80% 100%
内部不正
外部攻撃
(ウイルス感染や不正アクセス等)
人的ミス(誤操作等)
システム障害、停止
災害
非常に懸念している ある程度懸念している あまり懸念していない 全く懸念していない 無回答
(N=620)
付 3-26
委託元 委託先
<体制・ルール整備>
問10 受託業務における情報セキュリティ対策について、受託業務で扱う情報の種類ごとの実施状況として、当てはまる
ものを全てお選びください。(✔は各行につき、いくつでも)
図付 3 - 2 - 15 受託業務における情報セキュリティ対策
問11 受託業務における情報セキュリティ対策について、所管(関与)する部門をお選びください。1 つの取組みに対して
複数の部門が関与する場合は、関与する部門全てをお選びください。 (✔は各行につき、いくつでも)
図付 3 - 2 - 16 受託業務における情報セキュリティ対策の所管部門
76.0
81.0
81.3
80.0
78.9
73.9
83.7
76.8
74.4
71.6
58.2
64.7
64.7
63.2
60.5
8.4
3.5
3.7
6.5
7.3
1.8
1.5
1.5
1.3
2.3
0% 20% 40% 60% 80% 100%
提案時の情報セキュリティ対策の説明
情報管理・情報セキュリティに関する
契約内容確認
受託業務で扱う情報資産の厳格な管理
(授受から廃棄等の一連のプロセス)
委託元による情報セキュリティ対策の
実施状況の確認への対応
インシデントに対する対応体制の整備
個人情報 営業秘密 その他の非公開情報 当該取組みはない 無回答
(N=620)
67.1
63.0
40.4
48.8
48.5
53.7
54.0
61.8
68.8
76.2
10.7
35.3
11.7
13.3
19.5
48.8
44.5
60.3
54.3
52.2
3.9
8.9
6.5
7.1
9.9
1.1
0.7
1.0
0.9
1.2
0% 20% 40% 60% 80% 100%
提案時の情報セキュリティ対策の説明
(N=568)
情報管理・情報セキュリティに関する契約内容確認
(N=598)
受託業務で扱う情報資産の厳格な管理
(授受から廃棄等の一連のプロセス)
(N=597)
委託元による情報セキュリティ対策の実施状況の
確認への対応
(N=580)
インシデントに対する対応体制の整備
(N=575)
営業部門 情報システム部門・
情報セキュリティ部門
法務部門 事業部門 その他 無回答
(N=620)
付 3-27
委託元 委託先
問 12 受託業務における情報セキュリティ対策に取り入れている、または参考にしている基準、ガ
イドライン、規格等はありますか。当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 17 受託業務における情報セキュリティ対策に取り入れている・参考にしている
基準、ガイドライン及び規格等
25.0
79.0
18.5
51.1
34.4
16.9
44.4
30.2
10.0
2.9
18.5
1.5
4.8
3.2
56.1
1.0
52.1
0.8
3.4
2.7
0% 20% 40% 60% 80% 100%
政府機関等の情報セキュリティ対策のための統一基準群
(NISC:内閣サイバーセキュリティセンター)
個人情報の保護に関するガイドライン(各省庁)
営業秘密管理指針(経済産業省)
情報セキュリティ管理基準(経済産業省)
下請適正取引等の推進のためのガイダンス
(経済産業省、総務省、国土交通省)
情報システム・モデル取引・契約書(経済産業省)
中小企業の情報セキュリティ対策ガイドライン(IPA)
組織における内部不正防止ガイドライン(IPA)
金融機関等コンピュータシステムの安全対策基準
(FISC:金融情報システムセンター)
サプライチェーン情報セキュリティ管理基準
(JASA:特定非営利活動法人日本セキュリティ監査協会)
ソフトウエア開発委託基本モデル契約書
(JISA:一般社団法人情報サービス産業協会)
非ウォーターフォール型開発に適したモデル契約書(IPA)
CMMI(能力成熟度モデル統合)
PCI DSS
(Payment Card Industry Data Security Standard)
JIS Q 27000シリーズ
(情報セキュリティマネジメントシステム関連規格:ISMS)
JIS X 5070-1
(情報技術セキュリティの評価基準:CC)
JIS Q15001
(個人情報保護マネジメントシステム:Pマーク)
SP800シリーズ(NIST:米国国立標準技術研究所)
その他
無回答
(N=620)
付 3-28
委託元 委託先
問 13 貴社が参加する IT サプライチェーン内で横断的な情報セキュリティ対策はありますか。当
てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 18 ITサプライチェーン内で横断的な情報セキュリティ対策
問 14 受託業務における情報セキュリティ対策において、どのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3つまで以下の枠内にご記入ください。
図付 3 - 2 - 19 受託業務における情報セキュリティ対策の課題
43.7
40.0
35.6
38.7
7.3
0.8
27.1
2.1
0% 20% 40% 60% 80% 100%
共通の情報セキュリティポリシー・基準等の展開
共通の情報セキュリティ要求事項に基づく再委託先
(自社から見た委託先)の適合確認
情報セキュリティに関する情報共有の仕組み
情報セキュリティの普及啓発
ITサプライチェーン参加企業を対象とする
インシデント対応組織(CSIRT等)の設置
その他
特にITサプライチェーン内で横断的な取組みはない
無回答
(N=620)
23.4
37.9
64.5
51.3
3.7
7.4
0% 20% 40% 60% 80% 100%
情報セキュリティ確保の意識が低い委託元が多い
社内に十分な知見・スキルを持った人材がいない
様々な種類、レベルの受託業務に対応した
情報セキュリティ対策を実施することが難しい
受託業務における情報セキュリティ対策にかかわる
関係部門の負担が大きい
その他
無回答
(N=620)
付 3-29
委託元 委託先
<委託元への提案>
問 15 委託元への業務の提案において、貴社のどのような点をアピールしていますか。
特にアピールする項目の選択肢の番号を優先順に 4つ左から以下の枠内にご記入ください。
図付 3 - 2 - 20 委託元への提案においてアピールする点
60.8
17.3
1.8
10.6
1.0
6.8
0.6
0.2
1.0
20.6
40.6
5.6
17.3
6.8
4.4
2.1
0.5
2.1
8.4
13.7
13.7
31.6
13.9
4.5
5.0
1.1
8.1
3.2
5.8
19.0
15.3
24.2
4.8
10.8
3.4
13.4
0% 20% 40% 60% 80% 100%
業務の品質・価格・納期
類似業務の過去の受注実績、業界シェア
経営・財務状況
情報セキュリティ対策の実施状況や認証の取得状況
(ISMSやPマーク等)
過去にインシデントが無い、少ないこと
系列企業・グループ企業であること
国内企業であること
グローバル企業であること
無回答
優先順位① 優先順位② 優先順位③ 優先順位④
(N=620)
付 3-30
委託元 委託先
問 16 受託業務において、最低限どのような情報セキュリティ対策を実施しますか。当てはまるも
のを全てお選びください。(○はいくつでも)
図付 3 - 2 - 21 受託業務において、最低限実施する情報セキュリティ対策
87.4
78.9
61.5
84.5
66.1
87.1
77.9
88.4
87.9
73.1
92.7
68.1
66.8
77.3
79.0
81.3
71.9
79.4
0.6
0% 20% 40% 60% 80% 100%
情報セキュリティポリシーや情報セキュリティ管理に関する
規程の整備及び実践
全社的な情報セキュリティの推進体制やコンプライアンスの
推進体制の整備
重要な情報資産に対する重要性のレベルごとの分類、
レベルに応じた表示や取扱方法の規定
重要な情報の利用、保管、持ち出し、消去、破棄等に対する
取扱い手順の規定
再委託時の契約における情報セキュリティ要求事項の明記
従業者に対する情報セキュリティに関する就業上の義務の明確化
(採用、退職時における守秘義務に関する書面の取り交わし等)
従業者に対する情報セキュリティに関する自組織の取組みや
関連規程類についての計画的な教育や指導の実施
重要な情報資産のある建物や区画に対する
物理的セキュリティ対策、入退室管理の実施
重要な書類、モバイルPC、記憶媒体に対する施錠管理等の
適切な管理の実施
重要なデータや関連するシステムのバックアップに関する
手順の文書化及び実施
不正プログラム(ウイルス、ワーム、トロイの木馬、
ボット、スパイウエアなど)への対策実施
情報システムに対する、適切かつ迅速な脆弱性対策の実施
ネットワーク上のデータに対する暗号化などの
適切な保護策の実施
モバイルPC、記憶媒体やデータの外部持ち出しに対する、
盗難、紛失などを想定した対策の実施
データや情報システムの利用者IDの管理、
利用者の識別と認証の実施
データや情報システム、業務アプリケーションなどに
対するアクセス権の付与とアクセス制御の実施
ネットワークのアクセス制御の実施
インシデント発生時の適切かつ迅速な初動対応、報告の実施
無回答
(N=620)
付 3-31
委託元 委託先
問 17 受託業務において、内部不正を防止する観点でどのような情報セキュリティ対策を実施し
ますか。当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 22 受託業務において実施する内部不正対策
問 18 委託元への提案にあたり、受託業務における情報セキュリティ上のリスクや対策について、どのように説明を行う
ことが多いですか。(○は 1つ)
図付 3 - 2 - 23 委託元への提案における受託業務の情報セキュリティ上のリスクや対策の説明
問 19 委託元から要求される情報セキュリティ対策に貴社が対応できない場合、委託元に対してどのような提案を行うこ
とが多いですか。(○は 1つ)
図付 3 - 2 - 24 情報セキュリティ対策の要求に対応できない場合の委託元への提案
66.6
73.2
28.9
77.3
1.9
3.1
1.5
0% 20% 40% 60% 80% 100%
操作ログ等の取得・保存
私物のモバイル機器や記憶媒体に対する
持ち込み、持ち出しの管理
単独作業の制限、承認手続き
従業者からの当該業務委託の秘密保持等に関する
誓約書の取得
その他
特に実施していない
無回答
(N=620)
42.3 34.7 3.9 17.9 1.3
0% 20% 40% 60% 80% 100%
受託した業務に合わせてその都度資料を作成し説明している定型資料や公開している報告書等を用いて説明しているその他特に説明は行わない無回答
(N=620)
65.6 13.7 5.2 4.7 9.8 1.0
0% 20% 40% 60% 80% 100%
情報セキュリティ対策の代替案を提案する情報セキュリティ対策の要求範囲の変更を依頼するリスクが低いことを説明し、情報セキュリティ対策の免除を依頼するその他特に提案は行わない無回答
(N=620)
付 3-32
委託元 委託先
問 20 問 3 で再委託先があるとお答えいただいた方(選択肢 2、3 または 4 を選んだ方)にお伺い
します。再委託先(貴社から見た委託先)に対して、要求する情報セキュリティ対策について、社内でどのように定
めていますか。
(○は 1つ)
図付 3 - 2 - 25 再委託先に対して要求する情報セキュリティ対策
問 21 委託元への提案において、情報セキュリティの観点で、どのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 2 - 26 委託元への提案における情報セキュリティの観点での課題
68.2 25.7 4.21.9
0% 20% 40% 60% 80% 100%
委託元から自社に求められるレベルと同等の情報セキュリティ対策を要求する
自社の基準に基づく情報セキュリティ対策を要求する
特に要求していない
無回答
(N=475)
17.6
31.0
54.4
35.0
31.6
2.6
10.5
0% 20% 40% 60% 80% 100%
委託元への提案について情報セキュリティの観点で
社内で確認していない
委託元の情報セキュリティの要求事項の水準が高く、
コスト負担が大きい
委託元によって、情報セキュリティの要求事項が異なり、
個別に対応する負荷が高い
情報セキュリティ対策にかかるコストについて
委託元の理解が得られない
情報セキュリティに関する提案が競合他社との
差別要因にならない
その他
無回答
(N=620)
付 3-33
委託元 委託先
<契約>
問 22 委託元との契約において、どのような情報セキュリティにかかわる要求事項が含まれていますか。
当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 27 委託元との契約に含める情報セキュリティにかかわる要求事項
問 22-1 問 22の選択肢「5情報セキュリティに関する委託元と自社の責任範囲」を選んだ方にお伺いします。情報セ
キュリティに関する委託元と自社の責任範囲についてどのように明示していますか。当てはまるものを全て
お選びください。(○はいくつでも)
図付 3 - 2 - 28 情報セキュリティに関する委託元と委託先の責任範囲の明示方法
96.9
58.4
48.9
57.7
45.5
52.3
19.2
18.5
64.2
76.5
0.6
1.5
0% 20% 40% 60% 80% 100%
秘密保持
具体的な情報セキュリティ対策の実施
(既存の基準への適合や認証取得等も含む)
証跡の提示、監査協力等
情報セキュリティに関する契約内容に
違反した場合の措置
情報セキュリティに関する委託元と自社の責任範囲
インシデントが発生した場合の対応
情報セキュリティに関する
SLA(Service Level Agreement)
新たな脅威(脆弱性等)が顕在化した場合の
情報共有・対応
再委託(自社から見た委託)の禁止または制限
契約終了後の情報資産の扱い(返却、消去、廃棄等)
その他
無回答
(N=620)
53.2
58.5
33.0
2.1
10.3
0.0
0% 20% 40% 60% 80% 100%
一定の条件において自社が責任を負わない
免責規定を定めている
損害賠償額に受託業務の契約金額等で上限を設定している
ソフトウエア開発等において、瑕疵担保条項の中で
受託業務完了後に発覚した脆弱性等を対象としている
その他
具体的内容までは明示していない
無回答
(N=282)
付 3-34
委託元 委託先
問 22-2 問 22 の選択肢「6 インシデントが発生した場合の対応」を選んだ方にお伺いしま
す。インシデントが発生した場合の対応として、どのような内容を含めていますか。当てはまるものを全てお
選びください。(○はいくつでも)
図付 3 - 2 - 29 インシデントが発生した場合の対応として契約に含める内容
問 23 委託元との契約において、情報セキュリティの観点で、どのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 2 - 30 委託元との契約における情報セキュリティの観点での課題
<契約期間中の追加の対応>
問 24 過去の受託業務において、契約期間中に発生した新たな脅威(脆弱性等)に対応するための追加の費用負担を要
求したことがありますか。(○は1つ)
図付 3 - 2 - 31 契約期間中に発生した新たな脅威(脆弱性等)に対応するための追加の費用負担の要求
81.5
81.2
35.2
64.5
28.4
2.2
0.0
0% 20% 40% 60% 80% 100%
初動対応
報告窓口
報告期限
報告内容
調査・復旧にかかわる委託元と委託先の権限、負担
その他
無回答
(N=324)
21.6
36.0
44.7
33.9
20.3
3.4
16.8
0% 20% 40% 60% 80% 100%
委託元が情報セキュリティ要件として何を取り決めるべき
か理解していない
実施すべき具体的な情報セキュリティ対策が
明示されていない
情報セキュリティ上の責任範囲(責任分界点)が
わからない
再委託先(自社から見た委託先)の管理について
責任を負うことのリスクが高い
委託元の雛形を用いるため、インシデントが発生した際に
不利な内容となっている
その他
無回答
(N=620)
12.4 25.2 51.3 10.5 0.6
0% 20% 40% 60% 80% 100%
要求したことがある 要求したことがない 過去に事例がない わからない 無回答
(N=620)
付 3-35
委託元 委託先
<委託元による情報セキュリティ対策の確認>
問 25 委託元は貴社の情報セキュリティ対策の実施状況をどのような方法で、またどのタイミングで確認していますか。
実施方法と実施タイミングとして当てはまるものを全てお選びください。 (✔は各行につき、いくつでも)
図付 3 - 2 - 32 委託元からの情報セキュリティ対策の実施状況の確認方法・タイミング
問 26 問 3 で再委託先があるとお答えいただいた方(選択肢 2、 3 または 4 を選択された方)にお伺いします。委託元
は、再委託先(貴社から見た委託先)の情報セキュリティ対策の実施状況をどのように確認していますか。
(○は 1つ)
図付 3 - 2 - 33 委託元による再委託先の情報セキュリティ対策の実施状況の確認
34.2
14.5
7.3
45.0
15.2
1.3
41.5
19.2
6.5
35.5
69.8
1.1
43.9
41.5
14.5
19.2
13.4
1.3
7.3
2.9
1.9
1.1
5.6
1.1
16.5
36.0
69.0
24.0
14.2
54.7
2.9
3.9
7.7
3.5
4.4
41.0
0% 20% 40% 60% 80% 100%
チェックリストなど(自社のセルフチェック・内部監査)
実地調査(委託元による自社の監査)
外部監査(外部監査法人等による自社の監査)
各種認証・制度(ISMS、Pマーク等)の取得証明書
誓約書
その他
選定時 契約時 契約期間中 契約終了時 当該確認はない 無回答
(N=620)
5.9 67.2 24.0 1.7 1.3
0% 20% 40% 60% 80% 100%
委託元が直接確認している自社が再委託先(自社から見た委託先)を確認した結果を書面で確認している特に確認していないその他無回答
(N=475)
付 3-36
委託元 委託先
問 27 受託業務の情報セキュリティ対策を継続的に維持・改善するため、貴社と委託元との間で
どのような仕組みを取り入れていますか。当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 34 情報セキュリティ対策を継続的に維持・改善するための取組み
問 28 委託元による情報セキュリティ対策の確認等においてどのような点が課題だと考えますか。
特に課題と考えるものの選択肢の番号を最大 3 つまで以下の枠内にご記入ください。
図付 3 - 2 - 35 委託元による情報セキュリティ対策の確認等における課題
<インシデント対応>
問 29 過去 3 年間の受託業務(貴社や再委託先以降(貴社から見た委託先以降)において、インシデントが発生したこと
はありますか。(✔は各行につき 1 つ)
図付 3 - 2 - 36 受託業務における過去 3年間のインシデントの経験
44.7
27.4
42.4
3.1
23.2
1.0
0% 20% 40% 60% 80% 100%
関係者間の定例会議等における報告
関係者間の情報共有のためのツールの活用
(メーリングリスト等)
情報セキュリティに関する連絡窓口の設置
その他
特に仕組みはない
無回答
(N=620)
31.9
54.5
26.3
5.6
4.7
12.3
16.6
3.1
17.3
0% 20% 40% 60% 80% 100%
社内に十分な知見・スキルを持った人材がいない
様々な委託元からの確認に対応する部門の負担が大きい
再委託先(自社から見た委託先)に対する確認にかかる
自社の負担が大きい
海外の再委託先(自社から見た委託先)の
情報セキュリティ対策を確認することが難しい
重要な情報がITサプライチェーン上でどこにあるのか
わからない
契約後の追加の情報セキュリティ対策要求がある
追加の情報セキュリティ対策要求に対して委託先からの
費用が出ない
その他
無回答
(N=620)
21.3
10.3
74.8
77.1
2.9
6.8
1.0
5.8
0% 20% 40% 60% 80% 100%
自社
再委託先以降
(自社から見た委託先以降)
ある ない わからない 無回答
(N=620)
付 3-37
委託元 委託先
問 29-1 問 29 の選択肢「1 ある」を選んだ方にお伺いします。どのようなインシデントが発生
しましたか。当てはまるものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 37 インシデントの内容
問 29-2 問 29 の選択肢「1 ある」を選んだ方にお伺いします。発生したインシデントのうち、最も影響が大きかったも
のについて、被害内容と被害の影響が及んだ範囲(組織・個人)として当てはまるものを全てお選びください。
(✔は各行につき、いくつでも)
図付 3 - 2 - 38 最も影響が大きかったインシデントの被害内容と被害の影響が及んだ範囲
21.8
52.4
8.8
0.7
20.4
32.0
0.7
0% 20% 40% 60% 80% 100%
情報漏えい・暴露
システム・サービスの障害・遅延・停止
情報システム・機器の不正利用
ウェブページ等の改ざん
データの毀損、消失
その他
無回答
(N=147)
34.0
4.1
18.4
2.0
26.5
29.9
8.8
61.2
6.8
44.9
6.1
1.4
12.2
0.7
7.5
4.8
0.0
2.0
0.0
4.8
6.1
1.4
0.0
0.7
4.1
46.9
78.2
33.3
82.3
40.8
6.1
9.5
4.8
9.5
4.8
0% 20% 40% 60% 80% 100%
ITシステム・サービスの障害、遅延、停止による逸失利益
個人顧客への賠償や法人取引先への補償負担
原因調査・復旧にかかわる人件費等の経費負担
裁判、調停等にかかわる人件費等の経費負担
個人顧客や法人取引先に対する信頼の失墜
委託元 自社再委託先以降(自社から見た委託先以降) その他の取引先、関係先委託元の個人顧客 当該被害はない無回答
(N=147)
付 3-38
委託元 委託先
問 30 インシデント対応において、どのような点が課題と考えますか。
特に課題と考えるものの選択肢の番号を最大 3つまで以下の枠内にご記入ください。
図付 3 - 2 - 39 インシデント対応における課題
Ⅳ.IT サプライチェーンにおける情報セキュリティの向上のため、国、IPAに期待する施策についてお伺いします。
問 31 ITサプライチェーンにおける情報セキュリティの向上のため、国、IPA に求める施策はありますか。
施策として期待するものを全てお選びください。(○はいくつでも)
図付 3 - 2 - 40 ITサプライチェーンにおける情報セキュリティの向上のため、国、IPAに求める施策
28.5
11.6
35.0
41.0
34.8
30.6
2.3
12.4
0% 20% 40% 60% 80% 100%
社内に十分な知見・スキルを持った人材がいない
インシデントが発生した際に何をしたらいいのか
わからない
インシデントが発生した際に手順どおりに対応できるか
わからない
再委託先(自社から見た委託先)における証拠保全や調査
実施が難しい
どこまでの範囲に対応するのかわからない
(報告対象となるインシデントの範囲等)
委託元との費用負担の調整が難しい
その他
無回答
(N=620)
67.4
59.2
45.0
33.2
34.2
2.7
6.0
0% 20% 40% 60% 80% 100%
企業向けガイドラインの整備
委託先管理で利用できるツール
(チェックリスト、ベンチマーク、各種雛形等)の整備
ITサプライチェーンのインシデント事例集の整備
委託先管理のベストプラクティス集の整備
委託先管理者向け普及啓発セミナー・教育
その他
無回答
(N=620)
![委託検査マニュアル - KHK...様式1-2 文書履歴 委託検査マニュアル[機-90102] 改訂 施行 コード年月日 改訂等の内容 -3 2006. ①委託検査の種別を改正した。](https://img.pdfslide.tips/doc/110x75/60f77ffcec461f696530736c/eoeffff-khk-1i2-eoeffffi90102.jpg)
